CyberLympha Thymus

Основные статьи:

• Машинное обучение (Machine Learning)
• Security Information and Event Management (SIEM)

CyberLympha Thymus – программный комплекс с применением интеллектуальных алгоритмов, обеспечивающих автоматическое изучение схемы информационных потоков и работы отдельных узлов защищаемой системы при отсутствии спецификаций протоколов и любой дополнительной информации об особенностях защищаемой системы.

2021: Получение патента

Компания Сайберлимфа 11 февраля 2021 года сообщила о получении патента на технологию выявления аномалий в работе сети автоматизированной системы. Патент № 2 738 460 выдан Федеральной службой по интеллектуальной собственности (Роспатент).

Запатентованная технология стала основой для разработки решения CyberLympha Thymus – системы выявления компьютерных инцидентов. CyberLympha Thymus использует методы машинного обучения, позволяющие изучить защищаемую систему в полностью автоматическом режиме для последующего эффективного выявления аномалий в ее работе, которые могут являться следствием компьютерного инцидента.

В отличие от традиционных средств обнаружения вторжений, использующих сигнатуры известных атак или решений, фиксирующих аномальные значения общих параметров сетевых взаимодействий (типа количества сетевых пакетов, их среднего размера или частоты передачи), в CyberLympha Thymus применяются методы обратного инжиниринга сетевого трафика и многоагентного моделирования, что обеспечивает более высокую точность выявления аномалий, а также позволяет анализировать причины, по которым алгоритм отнес зафиксированное состояние к аномальному. Связка этих методов легла в основу патентованной технологии выявления аномалий.

Метод обратного инжиниринга сетевого трафика позволяет производить глубокую инспекцию пакетов протоколов, для которых не описана строгая спецификация формата в системе – эта спецификация формируется автоматически в ходе обучения метода. В результате анализа сетевого трафика метод формирует топологию сети защищаемой системе и протокол взаимодействия отдельных узлов системы – эта информация поступает на вход следующего метода.

Метод многоагентного моделирования строит модель системы как совокупности коммуницирующих между собой агентов, что позволяет модели предсказывать поведение системы в целом. При фиксации отклонений сигналов в реальной системе от предсказанных моделью метод фиксирует аномалию. Преимуществом такого способа выявления аномалии является возможность локализации точки и конкретных параметров, которые послужили причиной отнесения наблюдаемого состояния к аномальному.

CyberLympha Thymus имеет возможность полноценной интеграции с системами мониторинга информационной безопасности (ИБ), в частности с программным комплексом CyberLympha DATAPK, являющимся основным источником данных для CyberLympha Thymus. Такой подход повышает эффективность процесса выявления инцидентов ИБ, а также помогает наиболее точно локализовать активы, затронутые инцидентом ИБ. В дальнейшем это позволяет системе передавать необходимые сведения системам класса SOAR для автоматического устранения последствий инцидента ИБ.

В ближайшие годы ожидается значительный рост рынка автоматизации, в то же время мы наблюдаем, насколько интенсивно растет и число кибератак на автоматизированные системы управления (АСУ). На февраль 2021 года не существует систем, которые полностью защищены от взлома и не подвержены риску реализации угроз ИБ. Это требует разработки технологий выявления инцидентов ИБ, в том числе, с использованием методов машинного обучения, – комментирует директор компании Сайберлимфа Алексей Шанин.